Vier Schritte zur Einstellung des besten CISO in einer IoT-Welt

Von all den neuen Technologieprozessen, die die nächste Welle der digitalen Transformation prägen, ist vielleicht keiner wichtiger als das Internet der Dinge (IoT). Als Phil Celestini, Senior Vice President und Chief Security and Risk Officer bei Syniverse Berichten zufolge bringt diese Technologie ein neues Ökosystem aus miteinander verbundenen Netzwerken und Datentransaktionen hervor, das sich schnell ausdehnt und unsere Geschäftsabläufe neu definiert.

Was jedoch oft übersehen wird, ist, dass das IoT auch ein Internet der gemeinsamen Dienste und Daten ist. Diese Tatsache ist eine der größten Herausforderungen für Unternehmen, die ihr Geschäft in das IoT integrieren und gleichzeitig sicherstellen möchten, dass Angriffsvektoren und die damit verbundenen Risiken adressiert werden. Diese Abwehrmaßnahmen umfassen verschiedene Fähigkeiten und Teams, die vom Chief Information Security Officer (CISO) geleitet werden.

Aus Risikosicht wurde das öffentliche Internet tatsächlich nie als sichere Umgebung konzipiert. Es wurde als Netzwerk mit integrierter Redundanz konzipiert, damit Wissenschaftler und Forscher Daten austauschen und nicht den Zugriff darauf schützen können. Folglich ist es eher ein Best-Effort-Netzwerk als das Best-in-Class-Netzwerk, das benötigt wird, um die Vertraulichkeit, Integrität und Verfügbarkeit von Transaktionen zu gewährleisten. Da die Prämisse des IoT auf Konnektivität aufbaut, kann ein böswilliger Angriff, der diese Konnektivität beeinträchtigt, beispiellose Verwüstungen anrichten. Die richtige Führung zu haben, um den Erfolg Ihres Informationssicherheitsteams bei der Abwehr solcher Verwüstungen voranzutreiben, ist entscheidend.

Vor diesem Hintergrund müssen Unternehmen die richtige Balance zwischen Sicherheit und Nutzung von Innovationen finden, um Fortschritte wie das IoT zu nutzen. Ein entscheidender Teil davon beginnt mit der Auswahl des besten CISO, was ich vor einigen Monaten mit großem Erfolg getan habe. Hier sind vier Faktoren, die ich bei der Bewertung von Kandidaten für die CISO-Position berücksichtigt habe, basierend auf mehr als 35 Jahren Erfahrung in Hochrisikooperationen und der Überwachung verschiedener Aspekte der Sicherheit für Unternehmen, das FBI, die Geheimdienste und das Militär.

4 Faktoren für die Einstellung eines CISO

• Sicherheit steht im Titel, wird aber nicht die einzige Aufgabe sein: Sicherheit sollte als ein Service behandelt werden, der als Geschäft innerhalb Ihres Unternehmens betrieben werden muss. Das bedeutet, dass CISOs die Strategie, die Geschäftsziele und die Risiken ihres Unternehmens verstehen müssen, um wirklich Wert zu schaffen. Darüber hinaus gibt es Benchmarks, Best Practices und Vorschriften, die bestimmen, wie Informationstechnologie und Daten gesichert werden. In dieser Hinsicht können CISOs Sicherheits- und Markteinblicke liefern, die Vertriebs- und Marketingteams nutzen können, um eine starke Unternehmensgeschichte über die Sicherheitslage zu erstellen, die Ihr Unternehmen von der Konkurrenz abhebt.
• CISOs sollten offen mit der C-Suite kommunizieren: Eine Sicherheitskultur wird durch Faktoren wie die Ausrichtung einer Organisation und die Strukturierung der Berichterstattung unterstützt. Wenn es um Unternehmensrisiken geht, sollte ein CISO möglichst direkt an die C-Suite berichten. Je nach Größe und Reife eines Unternehmens wird es Unterschiede geben, aber je näher der Zugang zum CEO ist, desto weniger „gefiltert“ werden kritische Gespräche sein. Risikobasierte Entscheidungen, die ein CISO in die C-Suite erheben muss, können manchmal schwer an Führungskräfte zu kommunizieren sein, da diese Entscheidungen andere Interessengruppen betreffen und selten in einem Vakuum stattfinden.
• „Sicherheit“ wurde erweitert: Vor zwanzig Jahren war es üblich, in einem Unternehmen zu arbeiten, in dem „Sicherheit“ bedeutete, dass jemand aus der IT-Abteilung eine Firewall verwaltete. Aber die Marktdynamik und die Verbraucheranforderungen haben seitdem die Arbeitsweise von Unternehmen beeinflusst und den Bedarf an professionellem Informationssicherheitspersonal getrieben. Heutzutage treiben äußere Faktoren wie Vorschriften, gesetzliche Anforderungen und Kundenanforderungen den Bedarf an robuster Sicherheit an, um im Geschäft zu bleiben. CISOs sollten mit diesem Wissen und dem richtigen Budget ausgestattet sein, damit sie ihre Sicherheitsstrategie im realistischen Kontext der Finanzen und Ziele ihres Unternehmens definieren können.
• Die besten CISOs sind die besten Studenten: CISOs müssen technisch versierte, starke Führungskräfte und kluge Geschäftsmanager sein. Die Rolle des CISO ist eine Reise, und gute CISOs müssen engagierte lebenslange Lernende sein. Die Branche entwickelt sich zusammen mit der Technologie ständig weiter, was bedeutet, dass Bedrohungsvektoren immer komplexer werden, ebenso wie Datenschutzgesetze und eine Vielzahl anderer externer „Influencer“ auf die Rolle des CISO. Dies führt zu einem ständigen Bedarf, Wissen zu pflegen und aufzufrischen, um solide Risikomanagementpraktiken einzuhalten.

Das schnelle Wachstum von IoT-Geräten und -Anwendungen, die vom öffentlichen Internet abhängig sind, eröffnet eine neue Ära der Konnektivität – und Verwundbarkeit. Wenn Unternehmen die Chancen dieser Ära nutzen, riskieren sie, kommerzielle Daten und Systeme einem öffentlichen Internet auszusetzen, das nie für diesen Zweck bestimmt war.

Letztendlich müssen Unternehmen, die Geschäfte und Daten mit Sicherheit, Sicherheit und Datenschutz abwickeln und übertragen möchten, über eine Sicherheitsstrategie zum Schutz ihrer Operationen vor dem öffentlichen Internet verfügen. Ein wichtiger Teil dieser Strategie besteht darin, den richtigen CISO zu finden. Die vier Faktoren hier bieten eine nützliche Grundlage für diesen Prozess.

Über den Autor

Der Autor ist Phil Celestini, Senior Vice President und Chief Security and Risk Officer bei Syniverse.